L’Autoritat Catalana de Protecció de Dades (APDCAT) emet informes o dictàmens amb un posicionament sobre un tema concret, en resposta a peticions d’informació o consultes formulades.
A més, emet resolucions en resposta a les reclamacions de tutela de drets formulades per les persones afectades. També resolucions sancionadores quan constata un incompliment de la normativa. Així mateix, atorga autoritzacions quan no cal informar els titulars de les dades personals sobre la recollida d’aquestes o per al manteniment íntegre de determinades dades.
En compliment de la normativa, l’APDCAT anonimitza les resolucions publicades, i modifica o suprimeix algunes referències dels dictàmens i informes per preservar la identitat de les persones o entitats que formulen les consultes.
En l’escenari plantejat en la consulta no resulta d’aplicació l’article 22.8 de la LOPDGDD en relació amb l’article 89.1 del mateix text legal, que fa referència al tractament per part de l’ocupador de dades obtingudes a través de sistemes de càmeres o videocàmeres. En concret no aplicaria l’excepció prevista en aquest article 89.1 quan estableix: “ En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica”, ja que el responsable del tractament no és l’ocupador i els possibles afectats pel sistema de videovigilància no són els seus treballadors.
En canvi, la base jurídica de l’interès legítim (article 6.1.f) RGPD, podria habilitar la comunicació de les imatges del sistema de videovigilància de la primera entitat a la segona per tal que aquest adopti les mesures oportunes en relació amb els fets enregistrats.
Igualment, pel que fa a l’obertura d’un expedient disciplinari en base a dites imatges, des del punt de vista procedimental, ha d’existir una actuació prèvia, com podria ser la incoació d’una informació reservada per part de l’òrgan competent, que habiliti i documenti els termes concrets de la petició de comunicació.
Si es fes un acord de corresponsabilitat, entre les dues entitats, que complís amb tots els requisits normatius, inclòs el dret d’informació, de manera que la primera, fos responsable del tractament amb la finalitat de videovigilància previst a l’article 22 LOPDGDD (seguretat) i la segona, fos responsable del tractament amb la
finalitat prevista a l’article 89 LOPDGDD (control laboral) es podria considerar que el tractament s’adequa a la normativa de protecció de dades.
Es planteja una consulta sobre si el delegat de protecció de dades pot ser alhora el director dels serveis jurídics i membre de l’òrgan col·legiat de l’equip de gestió del sistema intern d’informació que es vol implantar a l’empara de la llei 2/2023, si es considera que és independent i si pot existir conflicte d’interessos.
Tenint en compte que el DPD actua com assessor i supervisor intern del compliment de l’RGPD i l’LOPDGDD, a més de servir com a punt de contacte i interlocutor entre l’organització, les autoritats de protecció de dades i les persones interessades (articles 38.4 i 39.1 RGPD, i article 36 LOPDGDD), sembla clar que no pot alhora desenvolupar altres funcions incompatibles, en el sentit que comporti participar en la presa de decisions sobre l’existència de tractaments de dades o sobre la manera en què aquestes dades han de tractar-se.
Cal recorda que la decisió última sobre com dur a terme una determinada activitat del tractament correspon, sempre, al responsable o a l'encarregat del tractament, però és essencial que el DPD pugui assessorar i donar la seva opinió lliurement i sobre la base dels fets i dels seus coneixements especialitzats, sense cap classe de condicionant.
En aquest cas, per tal d’evitar conflictes d’interessos, convindria que la persona designada com a delegada de protecció de dades no acumulés alhora el càrrec de Director dels serveis jurídics ni de membre de l’òrgan col·legiat del responsable del sistema intern d’informació, per tal d’evitar conflictes d’interessos en l’exercici de les seves funcions o intervenir en la determinació dels fins i els mitjans del tractament de les dades personals de l’entitat pública, o que tingui atribuïdes funcions o altres responsabilitats que afectessin la seva independència en les seves funcions com a delegat de protecció de dades.
La persona reclamant tindria dret a accedir a la identitat de les persones que han prestat declaració com a testimonis en el si dels expedients sancionadors sol·licitats, en virtut del seu dret a conèixer l’origen de les seves dades personals i atesa la rellevància de tal informació per a l’exercici del seu dret de defensa.
S'estima la reclamació de tutela formulada per la persona reclamant contra la Direcció General de la Policia (DGP), atès que no va respondre la sol·licitud de supressió en el termini legalment establert. No cal efectuar un pronunciament sobre el fons en relació amb les diligències policials suprimides per la DGP. Això no obstant, cal desestimar-la en relació amb unes altres diligències policials concretes, atès que la DGP va requerir al reclamant documentació justificativa de la seva petició i aquesta persona no la va aportar.
Es resol declarar que el Departament de Drets Socials va vulnerar el principi de confidencialitat, quan va enviar per correu electrònic a una tercera persona no autoritzada informació personal sobre la denunciant. En concret, el seu número de DNI complet i el seu nom i cognoms.
L'Ajuntament justifica que va accedir al registre ANICOM per obtenir la dada del domicili de la denunciant en compliment del deure de col·laboració entre administracions, a requeriment del Ministeri d'Inclusió, Seguretat Social i Migracions, en el marc de l'atorgament d'un ajut, amb la finalitat de verificar l'existència del domicili i de les persones que hi conviuen.
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
La persona reclamant havia sol·licitat la supressió de diversa informació que figurava en un informe mèdic d'un hospital públic, arran d'una assistència seva al servei d'urgències, i l'hospital li ho va denegar. La reclamació davant l'APDCAT es va reconduir a l'exercici del dret de rectificació i es va desestimar, per considerar que la informació recollida, referent al consum esporàdic de tòxics i a les recomanacions terapèutiques de la psiquiatra d'assistència al CSMA, era veraç i necessària.
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.
S'estima parcialment la reclamació, atès que la Direcció General de la Policia del Departament d'Interior no va respondre en termini la sol·licitud de la persona reclamant. No cal efectuar un pronunciament sobre el fons, atès que la DGP ha estimat la sol·licitud de supressió.